Wie schützen Sie sich vor einem DDOS-Angriff oder einem Distributed-Denial-of-Service-Angriff?

Im Jahr 2020 veröffentlichte Neustar einen Bericht, den Cyber Threats & Trends Report, in dem es heißt, dass Denial-of-Service (DDoS) Angriffe sind 2020 gegenüber 2019 um 151% gestiegen. DDoS-Angriffe gelten als eines der wichtigsten Cybersicherheitsprobleme.

Die Angriffe werden immer organisierter und intelligenter. Experten gehen davon aus, dass im Zuge der Netzwerkentwicklung die Kriminalität 2021 sicherlich weiter zunehmen wird und Unternehmen mehr in digitale Sicherheit investieren müssen, um DDoS-Angriffe abzuwehren.

Élodie Huet

An article from

Élodie Huet
Cyber Security and Risk Management Consultant
Published
March 27, 2023
Updated
March 27, 2023
Reading time
minutes
Cybersicherheit durch DDOS-Angriffe - C-Risk

Was ist ein DDoS-Cyberangriff?

Aufgrund der Coronavirus-Pandemie hat die Internetnutzung erheblich zugenommen. Aufgrund der längeren Bildschirmzeit haben Cyberkriminelle das Volumen ihrer Angriffe erhöht. Um effiziente zu etablieren Cybersicherheitsstrategien, du musst wissen, wie man diese identifiziert Cyber-Angriffe.

Definition eines DDoS-Angriffs

Ein DDoS-Angriff wird als Cyberangriff durch „Distributed Denial-of-Service“ definiert.

Ein DDoS ist ein Versuch, den Online-Verkehr eines Servers, eines Dienstes oder eines bestimmten Netzwerks zu stören, indem es ihn mit überlastet eine riesige Menge an Traffic aus mehreren Quellen, was irgendwann begrenzt oder deaktiviert die Funktionen des Netzwerks.

Laut dem National Cyber Security Center gehören DDoS-Angriffe heutzutage zu den Lieblingsinstrumenten der Kriminellen. Diese Arten von Angriffen sind normalerweise billig, auf dem Markt leicht zu handhaben und effektiv.

Wie funktioniert ein DDoS-Angriff und wer wird ins Visier genommen?

Um einen DDoS-Cyberangriff durchzuführen, verlassen sich Hacker auf ein Netzwerk von Online-Maschinen. Dies können Computer, Server oder IoT-Geräte (Internet der Dinge) sein. Der Hacker infiziert all diese Computergeräte mit bösartiger Software:“Malware„.

Diese Maschinen werden zu dem, was wir „Bots“ oder „Zombies“ nennen. Der Hacker steuert sie als einzelne Gruppe oder als „Botnetz“ aus der Ferne. Alles, was sie tun müssen, ist diesem Botnetz eine Ziel-IP-Adresse zu geben, und alle Computer führen den Angriff aus, indem sie Zehntausende von Internetanfragen senden.

Die Zielseite oder der Zielserver wird nicht in der Lage sein, den gesamten Traffic zu konvertieren, und das ist der sogenannte „Denial-of-Service“. Der DDoS-Angriff ist erfolgreich, wenn der Onlinedienst instabil oder nicht verfügbar ist.

E-Commerce-Websites und Online-Casinos sind die Hauptziele dieser Cyberbedrohung. Einer der bekanntesten DDoS-Angriffe geht auf den Februar 2000 zurück. Der vom Cyber-Hacker Mafiaboy oder Michael Calce angeführte Angriff betraf die Online-Plattformen von Amazon, eBay, E-Trade und ZDNet.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.

Welche Form kann ein DDoS-Angriff annehmen?

Es gibt verschiedene Arten von DDoS-Angriffen. Der Schaden des Angriffs hängt davon ab, auf welche Ebene von OSI (Open Systems Interconnection) abgezielt wird.

Das OSI umfasst 7 Ebenen, von denen einige für Anwendungen, andere für die Kommunikation bestimmt sind. Diese Netzwerkverbindungsebenen sind der Nährboden für verschiedene DDoS-Angriffe, die bewältigt werden müssen, um eine zuverlässige Cyber-Risikokarte.

Es gibt 3 Haupttypen von DDoS-Angriffen.

DDoS-Angriff auf Anwendungsebene:

Angriffe auf die Anwendungsebenen der Server werden oft als „Layer-7-DDoS-Angriffe“ bezeichnet. Dazu gehören Cyberangriffe, die auf Sicherheitslücken in Anwendungen abzielen.

Bei diesen langsamen Angriffen handelt es sich um HTTP GET- oder POST-Anfragen, bei denen HTTP-Floods in Form eines Botnetzes die Bandbreitenkapazität des Zielservers überlasten und ihn beschädigen.

Es ist besonders schwierig, Abhilfe zu schaffen, da das Opfer Schwierigkeiten hat, zwischen bösartigem und normalem Traffic zu unterscheiden.

Protokoll-DDoS-Angriff

Zu den bekanntesten Protokollangriffe sind SYN Flood, Smurf DDoS und Ping Flood. Bei dieser Art von Angriffen werden die Sicherheitslücken der tatsächlichen Serverressourcen wie Firewalls und Load Balancer ausgenutzt.

Diese Cyberangriffe, auch bekannt als „Connection Table Exhaution Attacks“, zielen auf die Schichten 3 und 4 des OSI-Modells ab. Sie basieren auf den sogenannten „Kommunikationsebenen“, die es Computern ermöglichen, sich in einem Netzwerk miteinander zu verbinden.

SYN-Flut

Um den SYN-Flood-Angriff zu verstehen, müssen Sie bedenken, dass zwei Computer die TCP-Aushandlung ausnutzen, um eine Verbindung zu einem Netzwerk herzustellen. Dieser Vorgang wird als Drei-Wege-Handshake bezeichnet.

Bei einer SYN-Flood sendet der angreifende Computer zahlreiche „Initial Connection Requests“. Dies veranlasst den Computer des Opfers, auf all diese Verbindungsanfragen über SYN/ACK-Pakete zu antworten. Da die initiierte Verbindung nie abgeschlossen wird, wird der Server überlastet.

Dieser umfangreiche TCP-Aushandlungsprozess erschöpft die Ressourcen des Netzwerks, bis das System beschädigt oder heruntergefahren wird. Auf diese Weise nutzt SYN Flood Schwachstellen in der TCP-Verbindung aus.

Ping-Flut

Ping-Flood ist ein Versuch, das Ziel mit Echoanforderungspaketen des Internet Control Message Protocol (ICMP) zu überfordern, die sowohl aus eingehenden als auch aus ausgehenden Nachrichten bestehen.

Die geringe Fähigkeit, auf die hohe Anzahl von Anfragen auf dem Gerät zu reagieren, auch Ping-Verkehr genannt, führt zu einer Unterbrechung des normalen Datenverkehrs.

Schlumpf-DDoS

Ein Smurf-DDoS-Angriff ist ein ähnlicher Versuch wie die Ping-Flut. Der Unterschied besteht darin, dass es sich bei einem Smurf-Angriff um eine DNS-Verstärkung handelt, bei der die Sicherheitslücken im Internet Protocol (IP) und ICMP ausgenutzt werden, was zu mehr Schaden führen kann.

Volumenbasierter DDoS-Angriff

Die häufigsten der drei Arten von DDoS-Angriffen sind volumenbasiert Angriffe. Ziel ist es, so viele Computer und Internetverbindungen zu nutzen, dass die Bandbreite voll ist und eine Website mit Traffic überflutet wird. Ein gängiges Beispiel ist eine UDP-Flut.

Im Fall der UDP-Flut verwenden die Hacker das UDP-Verbindungsprotokoll (User Datagram Protocol). Dadurch können Daten von einem Computer auf einen anderen übertragen werden, ohne dass eine Verbindung hergestellt werden muss, was das Gegenteil einer TCP-Übertragung ist. Das Opfer dieses Angriffs erhält eine große Anzahl von UDP-Paketen, deren Herkunft es nicht identifizieren kann. Dann sendet es Hunderte von Nachrichten mit dem Hinweis, dass das Ziel nicht erreichbar ist, wodurch seine Ressourcen überlastet werden und letztendlich sein System blockiert wird.

In Wirklichkeit verwenden die Hacker heute fortschrittlichere Systeme, was als Mixed/Blended/Multivector-Attacken bezeichnet wird. Beispielsweise kann ein Cyberangriff mit einem volumenbasierten Angriff beginnen, gefolgt von einem DDoS-Angriff auf Anwendungsebene, nur um das Opfer vom „echten“ Angriff abzulenken. Diese Hacking-Techniken sind komplexer und häufiger und können ohne ein geeignetes Abwehrsystem sehr gefährlich sein.

DDoS cyberattacks control a remote botnet

Wie schützen Sie sich vor Distributed-Denial-of-Service-Angriffen?

Um den Schutz Ihres Netzwerks vor den verschiedenen Arten von DDoS-Angriffen zu gewährleisten, müssen Sie in der Lage sein, die sie kennzeichnenden Anzeichen zu identifizieren. Sie müssen auch wissen, welche Maßnahmen wirksam sind, um die Auswirkungen zu verringern.

Es gibt mehrere klassische Symptome eines DDoS-Angriffs. Die Herausforderung besteht darin, einen legitimen Anstieg des Datenverkehrs von einer abnormalen Netzwerklangsamheit zu unterscheiden. IT-Abteilungen sollten sich daher auf ihre Verkehrsanalysen verlassen, um die besorgniserregenden Anzeichen zu erkennen:

● ungewöhnliche Verkehrsmuster;

● Verkehrsflüsse von einer einzelnen IP-Adresse oder einem IP-Adressbereich;

● ein Anstieg der Anfragen an eine einzelne Webseite;

● unerklärlicher Datenverkehr von Computern mit identischem Verhalten, die möglicherweise auf demselben Browsertyp ausgeführt werden.

Wir sprechen mehr über Abwehr eines DDoS-Angriffs, anstatt ihn zu entfernen, da es immer noch schwierig ist, legitimen Traffic von gehacktem Traffic zu unterscheiden. Es liegt daher im besten Interesse einer Organisation, die Opfer eines DDoS-Angriffs ist, sich auf einen Plan zur Geschäftskontinuität (BCP). Die Herausforderung besteht darin, weiterhin legitimen Datenverkehr zu verarbeiten und gleichzeitig den von den Hackern erzeugten Verkehr zu stoppen.

Die andere große Herausforderung bei der Abwehr eines DDoS-Angriffs ist seine Komplexität. Einige Hacker zögern nicht, einen „Multivektor“ -Angriff durchzuführen. Dies kombiniert verschiedene Kategorien von DDoS-Angriffen und zielt auf mehrere Ebenen des OSI-Modells ab. Die Abwehr eines Multivektor-DDoS-Angriffs erfordert daher die Überschneidung verschiedener Techniken: mehrschichtige Strategien.

Schauen wir uns also an, wie Sie sich vor DDoS-Angriffen schützen können.

Die Web Application Firewall oder WAF

Eine Web Application Firewall (WAF) ist definiert als ein Tool, das Anfragen filtert, die Schicht 7 einer Netzwerkverbindung destabilisieren sollen.

Es fungiert als Reverse-Proxy und verhindert, dass Hacker Ihre IP-Adressen ins Visier nehmen. Diese Firewall stützt sich auf Regeln, die DDoS identifizieren, um einen bestimmten Server vor unberechtigtem Datenverkehr zu schützen.

Die Firewalls und Router sind die grundlegenden Schutzmaßnahmen, die immer konfiguriert und aktualisiert werden sollten.

Ratenbegrenzungen anfragen

Zum Schutz vor DDoS-Angriffen können Serverbesitzer auch entscheiden, die Anzahl der Anfragen, die sie in bestimmten Zeiträumen annehmen, zu begrenzen.

Diese Strategie reicht nicht aus, um Multivektor-DDoS-Angriffe zu stoppen. Sie hat jedoch den Vorteil, dass sie ihre Auswirkungen abschwächt und gemeinsame Cyberangriffe wie Datendiebstahl verhindert.

Die logische Konsequenz der Begrenzung der Anforderungsrate ist die Einschränkung der Serverleistung. Mangelnde Effizienz entspricht kaum den Bedürfnissen von Online-Unternehmen, deren Produktivität gleichbedeutend mit Umsatz ist. Darüber hinaus verhindert diese Strategie das nicht vollständig Risiko der Serverüberlastung.

Um dieses Problem zu umgehen, bieten viele Unternehmen eine alternative Website an, auf die legitime Zugriffe im Falle eines Angriffs umgeleitet werden.

Verzögerung des Datenverkehrs in einem Anycast-Netzwerk

Die meisten Experten für DDoS-Cybersicherheit bieten ihren Kunden die Nutzung eines Anycast-Netzwerks an. Dies wird auch als „Vakuumwerkzeug“ bezeichnet.

Dabei handelt es sich um ein Netzwerk kostenloser Server, um böswilligen Traffic abzufangen und legitimen Traffic freizulassen. Es stützt sich oft auf verschiedene Rechenzentren, die auf mehrere Standorte verteilt sind. In der Tat gilt: Je größer das Anycast-Netzwerk ist, desto schneller wird der DDoS-Angriff abgewehrt.

DDoS suction tool relieves server traffic

Der letzte Ausweg: das schwarze Loch

Angesichts eines DDoS-Angriffs kann das Opfernetzwerk wählen, den gesamten Website-Verkehr in ein schwarzes Loch zu leiten.

Dieses System macht kaum den Unterschied zwischen legitimem und bösartigem Netzwerkverkehr aus. Aus diesem Grund ähnelt diese Technik der Selbstsabotage.

Checkliste: 10 Tipps zur Vermeidung von DDoS-Angriffen

DDoS-Angriffe sind nicht einfach zu bekämpfen und können sehr problematisch sein, wenn sie auftreten. Oft ist es sinnvoller, vorher in ein Sicherheitssystem zu investieren, als zu versuchen, einen DDoS-Angriff abzuwehren.

  1. Überwachen Sie Ihren Traffic: Verwenden Sie verschiedene Tools, um Ihren Traffic, Ihre Muster und Merkmale zu kennen und zu verstehen und ungewöhnliche Aktivitäten leichter zu erkennen.
  2. Schützen Sie Ihr Netzwerk: Schützen Sie sich mit Hilfe Ihres Sicherheitsteams und dessen Richtlinien zur Risikobewertung. Verwenden Sie Firewalls, VPNs, Anti-Spam-Software, Cloud-basierte Lösungen usw.
  3. Habe einen Verteidigungsplan B parat: Seien Sie schnell und bereit, Kerndaten und geschäftskritische Dienste im Falle eines DDoS-Angriffs schnell wiederherzustellen. Vermeiden Sie langwierige Genehmigungslösungen während des Angriffs, dafür haben Sie keine Zeit.
  4. Implementieren Sie Cybersicherheit in den Bereichen Geschäftskontinuität, Disaster Recovery und Notfallplanung: Nehmen Sie DDoS-Angriffe ernst. Seien Sie proaktiv — erstellen Sie Übungsbücher und führen Sie Übungen für Ihr Unternehmen durch, um die Einsatzbereitschaft zu verbessern.
  5. Aufrechterhaltung einer starken Netzwerkarchitektur: Die Server sollten sich geografisch an verschiedenen Orten befinden. Verteilte Ressourcen sind für Hacker schwieriger ins Visier zu nehmen.
  6. Praktizieren Sie gute Cyberhygiene: Fangen Sie von vorne an. Fördern Sie eine sicherheitsorientierte Unternehmenskultur. Stellen Sie sicher, dass die verschiedenen Abteilungen die Cybersicherheitspraktiken einhalten.
  7. Nutzen Sie KI und menschliche Schadensbegrenzung: Angreifer entwickeln sich weiter und nutzen verschiedene Arten der Abwehr, um Ihr Unternehmen besser abzuwehren.
  8. Zero-Trust-Sicherheitsmodell: Ziehen Sie ein Zero-Trust-Framework in Betracht, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf wichtige Anwendungen und Dienste haben.
  9. Seien Sie auf dem Laufenden: Arbeiten Sie proaktiv mit Ihren Upstream-Dienstanbietern zusammen, bewerten Sie DDoS-Risiken, aktualisieren Sie Ihre Dienste und seien Sie immer bereit.
  10. Testen, testen, testen: Testen Sie Ihre Programme, analysieren Sie sie und identifizieren Sie Sicherheitslücken, um die Sicherheit auf dem neuesten Stand zu halten.

Häufig gestellte Fragen: DDoS

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff wird als „Distributed Denial-of-Service“ -Angriff definiert. Es zielt darauf ab, einen Dienst, einen Server oder eine Online-Plattform unzugänglich zu machen. Diese Art von Cyberangriff besteht darin, die Bandbreite des Opferservers zu überlasten oder seine Systemressourcen zu erschöpfen, sodass er den legitimen Datenverkehr nicht mehr verarbeiten kann.

Was ist das Hauptziel eines DDoS-Angriffs?

Der einzige Zweck von DDoS besteht darin, zu verhindern, dass legitimer Datenverkehr einen Opferserver erreicht. Der DDoS-Angriff ermöglicht es Hackern nicht, den Zielserver zu übernehmen oder Daten von ihm zu stehlen, obwohl diese Ziele gemeinsame Cyberangriffe kennzeichnen können.

Wie wird ein DDoS-Angriff ausgelöst?

In den meisten Fällen ist ein DDoS-Angriff in erster Linie durch einen abnormalen Anstieg des Datenverkehrs in einem Netzwerk oder Server gekennzeichnet. Das Opfersystem wird je nach Art des DDoS-Angriffs mit Anfragen verschiedener Art überlastet.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.